Mises à jour Windows en entreprise : 7 règles pour ne plus jamais tout casser (TPE/PME Digne / 04)

Pourquoi les mises à jour Windows font peur aux dirigeants de TPE

Dans les Alpes-de-Haute-Provence, la plupart des TPE et PME que nous croisons à l'atelier ont la même réflexe : désactiver les mises à jour automatiques après avoir vécu une mauvaise expérience. Un poste qui redémarre en plein devis, un pilote réseau qui lâche, un ERP qui refuse de s'ouvrir. On comprend.

Pourtant, repousser les mises à jour Windows en entreprise, c'est jouer à la roulette russe côté sécurité. En 2023, 68 % des cyberattaques réussies sur les PME exploitaient des failles connues — et donc déjà corrigées par Microsoft. Le problème n'est pas la mise à jour elle-même, c'est l'absence de méthode.

Voici ce qui fonctionne concrètement pour les structures de 2 à 50 postes dans le 04.

Règle n°1 : ne jamais mettre à jour sans avoir sauvegardé la veille

C'est la règle d'or. Avant chaque cycle de mises à jour, assurez-vous qu'une sauvegarde complète et récente existe pour chaque poste concerné — ou au minimum pour le serveur de fichiers.

Si vous n'avez pas encore de stratégie de sauvegarde en place, lisez d'abord notre guide sur la méthode 3-2-1 pour TPE/PME : c'est la base sur laquelle tout le reste repose.

Concrètement : une sauvegarde du système (image disque) la veille, et vous pouvez restaurer un poste en moins de 30 minutes si une mise à jour casse quelque chose. Sans sauvegarde, vous comptez sur la chance.

Règle n°2 : différer les mises à jour de 7 à 14 jours (Windows Update Pro)

Windows 10 et Windows 11 Pro permettent de retarder l'installation des mises à jour de qualité jusqu'à 30 jours, et les mises à jour de fonctionnalités jusqu'à 365 jours. Cette option est dans Paramètres → Windows Update → Options avancées → Suspendre les mises à jour.

Pourquoi c'est utile ? Parce que Microsoft sort environ 70 à 100 correctifs chaque deuxième mardi du mois (le fameux Patch Tuesday). Sur ces correctifs, quelques-uns créent des régressions — parfois sur des configurations très répandues. En attendant 7 à 14 jours, vous laissez la communauté informatique mondiale tester à votre place et vous évitez d'être les premiers touchés.

Une durée de 7 jours est un bon compromis entre sécurité et stabilité pour la plupart des TPE.

Règle n°3 : séparer les postes critiques des postes standards

Identifiez vos postes critiques

Dans une TPE, certains postes sont vitaux : celui qui fait tourner la comptabilité, celui connecté à la machine de production, le serveur NAS ou le poste du standard téléphonique VoIP. Une interruption sur ces machines coûte de l'argent réel.

Pour ces postes, appliquez un délai plus long (14 à 21 jours) et mettez à jour en dehors des heures de travail — le vendredi soir ou le week-end.

Les postes standards peuvent aller plus vite

Les postes bureautique classiques (navigation, mail, traitement de texte) supportent beaucoup mieux une mise à jour qui tourne mal. Moins de dépendances logicielles, restauration plus simple. Vous pouvez les mettre à jour en premier et valider que tout va bien avant de toucher aux postes critiques.

Règle n°4 : le patch management pour TPE sans WSUS

WSUS (Windows Server Update Services) est l'outil Microsoft qui permet à un serveur de gérer les mises à jour de tout un parc Windows. C'est puissant, mais ça demande un serveur Windows dédié et un minimum d'expertise pour être maintenu. Pour une structure de 2 à 15 postes à Digne-les-Bains, c'est souvent surdimensionné.

Les alternatives réalistes pour votre taille :

• Groupe de stratégies (GPO) locales : si vous avez un domaine Active Directory, vous pouvez piloter les délais de mise à jour sur tous les postes depuis une console centrale.
• Microsoft Intune : inclus dans Microsoft 365 Business Premium, il permet de gérer les mises à jour Windows sans serveur on-premise. Idéal pour les structures avec des postes nomades.
• Ninite Pro ou PDQ Deploy : des outils tiers légers pour déployer et contrôler les mises à jour sur un petit parc, sans infrastructure lourde.
• Procédure manuelle documentée : pour 2 à 5 postes, une procédure simple appliquée chaque mois suffit souvent — à condition de vraiment la suivre.

Le choix dépend de votre taille, de votre budget et du niveau d'automatisation souhaité. Nous vous aidons à choisir lors d'un passage à l'atelier ou en intervention sur site.

Règle n°5 : tester les mises à jour majeures hors prod avant déploiement

Microsoft sort deux grandes mises à jour de fonctionnalités par an pour Windows 11 (en général en septembre et en mars). Ces mises à jour modifient en profondeur le système : interface, pilotes, compatibilité applicative.

Pour une TPE, voici la procédure raisonnable :

1. Retarder la mise à jour de fonctionnalités de 60 à 90 jours (réglable dans Windows Update Options avancées).
2. La tester d'abord sur un poste peu critique ou sur une machine virtuelle si vous en avez une.
3. Vérifier que vos logiciels métiers (comptabilité, devis, CRM…) fonctionnent correctement.
4. Valider le déploiement progressif sur le reste du parc.

Cette démarche vous prend 1 à 2 heures par semestre et vous évite des journées entières de dépannage.

Règle n°6 : planifier les redémarrages pour éviter les interruptions

L'un des reproches les plus fréquents contre Windows Update en entreprise, c'est le redémarrage intempestif. Un poste qui redémarre en plein export comptable, c'est une perte de données potentielle et une perte de temps certaine.

Windows Pro permet de définir des heures d'activité (Paramètres → Windows Update → Options avancées → Heures d'activité). Configurez-les selon vos horaires réels, par exemple 8h–19h du lundi au vendredi. Windows ne redémarrera pas pour appliquer une mise à jour pendant ces créneaux.

Vous pouvez aussi programmer les redémarrages à une heure précise — 22h le vendredi, par exemple — pour que les mises à jour soient installées chaque semaine sans perturber personne.

Attention tout de même : si un poste est éteint le week-end, il ne redémarrera pas. Veillez à ce que les postes concernés restent allumés pendant la plage de maintenance prévue, ou planifiez le redémarrage via une tâche planifiée Windows.

Règle n°7 : tenir un journal des mises à jour appliquées

Ça paraît anodin, mais c'est précieux quand quelque chose se casse. Si vous savez que le poste de la comptable a reçu le patch KB5034441 le mardi 9 janvier et que son logiciel de devis ne fonctionne plus depuis le mercredi 10, vous avez immédiatement la piste à creuser.

Un tableau simple suffit : date, poste, référence des KB installés, logiciels vérifiés après, résultat. Vous pouvez retrouver les KB installés dans Paramètres → Windows Update → Afficher l'historique des mises à jour.

Ce journal devient aussi très utile si vous faites appel à un prestataire extérieur pour le dépannage — comme notre équipe à Digne-les-Bains — car il réduit le temps de diagnostic, et donc la facture.

Pour aller plus loin sur l'organisation de votre maintenance informatique, consultez notre checklist de maintenance préventive en 15 points pour TPE.

Et si une mise à jour casse quand même quelque chose ?

Réflexe n°1 : désinstaller la mise à jour fautive

Windows permet de désinstaller les dernières mises à jour de qualité : Paramètres → Windows Update → Afficher l'historique des mises à jour → Désinstaller les mises à jour. Repérez la KB installée juste avant le problème et désinstallez-la. Dans 80 % des cas, ça suffit.

Réflexe n°2 : utiliser la restauration système

Si la désinstallation ne règle pas le problème, Windows crée automatiquement un point de restauration avant chaque mise à jour majeure. Allez dans le menu Démarrer, tapez "Créer un point de restauration" et choisissez "Restauration du système". Vous revenez à l'état du poste avant la mise à jour.

Réflexe n°3 : restaurer depuis la sauvegarde

Si les deux options précédentes échouent — ou si le poste ne démarre plus — c'est ici que la sauvegarde image disque que vous avez créée la veille prend toute sa valeur. Restauration complète en 20 à 40 minutes selon la taille du disque. C'est pour ça que la règle n°1 est la règle n°1.

Vous n'avez pas encore de solution de sauvegarde fiable ? C'est le bon moment d'y remédier. Découvrez nos services PRA/PCA pour professionnels à Digne-les-Bains.

FAQ : mises à jour Windows en entreprise

Peut-on désactiver complètement Windows Update en entreprise ?

Techniquement oui, via les stratégies de groupe ou en arrêtant le service Windows Update. En pratique, c'est une très mauvaise idée. Un poste non patché depuis 3 mois est une cible facile pour les ransomwares et autres malwares. La bonne approche, c'est de contrôler les mises à jour, pas de les supprimer. Si votre logiciel métier est incompatible avec une mise à jour précise, signalez-le à votre éditeur — c'est son problème à résoudre.

Quelle est la différence entre Windows Update et WSUS pour une TPE ?

Windows Update est le service intégré à chaque poste, qui va chercher les mises à jour directement chez Microsoft. WSUS est un serveur interne qui récupère les mises à jour une seule fois pour tout le parc et les distribue en local — ce qui économise la bande passante et centralise le contrôle. WSUS est pertinent à partir de 20 à 30 postes environ, ou dans des environnements avec une connexion internet limitée. En dessous, Windows Update Pro bien configuré avec les bons délais fait largement l'affaire.

Microsoft 365 gère-t-il les mises à jour Windows automatiquement ?

Microsoft 365 (l'ancienne suite Office 365) met à jour les applications Office automatiquement, mais pas Windows lui-même. Pour gérer les mises à jour de l'OS Windows via Microsoft 365, il faut l'abonnement Microsoft 365 Business Premium qui inclut Intune — un outil de gestion de parc dans le cloud. Pour les autres abonnements Microsoft 365, les mises à jour Windows restent à gérer séparément.

Combien de temps faut-il prévoir pour les mises à jour mensuelles d'un parc de 10 postes ?

Avec une bonne organisation, 1 à 2 heures par mois pour 10 postes. Si les redémarrages sont planifiés le vendredi soir et que vous vérifiez les postes le lundi matin, le temps de travail réel est minimal. Sans organisation, le même parc peut vous coûter une demi-journée de dépannage en réactif. C'est tout l'intérêt d'une procédure de patch management, même simple. Si vous manquez de temps pour gérer ça, un contrat de infogérance pour TPE peut le déléguer entièrement.